[发明专利]用于监视安全关键过程的自动化系统

说明书

本发明涉及用于监视安全关键过程的自动化系统(10)，该自动化系统(10)包括用于执行用户程序(24，26)的平台(12)，并且包括故障安全外围组件(20)，安全关键过程可以经由该故障安全外围组件(20)耦合至用户程序(24，26)。第一用户程序和与第一用户程序有多种冗余的第二用户程序一起产生安全功能(28)。自动化系统(10)另外地具有安全运行时环境，该安全运行时环境独立于用户程序(24，26)在平台(12)上实现，并且自动化系统(10)另外地被设计成独立于平台(12)向用户程序(24，26)提供安全资源(30)。

本发明涉及用于监视安全关键过程的自动化系统、相应的方法以及在平台上用于提供安全资源的安全运行时环境。

用于监视安全关键过程的自动化系统用来减少由技术设备对人员和环境造成的风险。为此，实现安全功能，以在发生危险时将技术系统或安全关键过程转换为安全状态。根据DIN EN ISO 13849-1和DIN EN ISO 12100，术语安全功能是指机器的与安全有关的控制功能，其将从机器产生的风险降低至可接受的水平。安全功能是例如在按下紧急停止按钮之后关闭机器。

最初，安全功能通过单独的安全组件例如通过具有继电器技术的安全开关装置的形式来实现，所述单独的安全组件独立于要被监视的设备的控制系统而起作用。在进一步的发展中，安全开关装置然后在逻辑上彼此链接，以实现更复杂的安全功能。

如今，安全控制器用于甚至更复杂的任务。安全控制器主要源于期望能够通过与可编程逻辑控制器(PLC)类似的方式进行编程来互连安全性。因此，安全控制器在其实际功能中与PLC控制器仅略有不同。本质上，安全控制器对应于两个单独的PLC控制器，所述两个单独的PLC控制器并行地执行用户程序，使用输入/输出的相同过程图像，并且不断地彼此同步。

然而，在内部，为了实现与安全有关的要求，安全控制器的结构与PLC控制器有很大不同。因此，安全控制器通常与PLC控制器的不同之处在于安全控制器具有两个单独的通道、具有不同硬件的多样化结构、对输入和输出的连续测试、对用户数据的连续比较、电压和时间监视以及在故障或危险情况时的安全关闭。另外，安全功能中涉及的部件——尤其是CPU(中央处理单元)——必须是故障安全的。为了实现符合标准的安全性，特别是为了达到根据IEC 61508的安全完整性水平(SIL 3)，因此最初冗余地使用CPU，即至少两个CPU彼此监视。

从EP 1 043 641 A2中已知一种基于标准CPU的故障安全自动化系统。错误控制措施尽可能集成到用户程序中，并且包括：安全协议、临时程序流控制、逻辑程序和数据流控制、通过信息冗余进行的数据保护、多样化处理以及过程错误容忍时间内的自测试。在过程错误容忍时间内测试不能多样化地实现的命令。另外，为了检测在多个错误发生时间内的多个错误，由CPU的操作系统执行背景测试。

根据EP 1 043 641 A2的安全性概念的一个缺点是，所提到的故障控制措施取决于处理器，并且因此，对于根据IEC 61508的SIL 3，必须确保处理器的故障安全性。然而，对于复杂的处理器，基于处理器的故障模式影响分析(FMEA)的至少99％的诊断覆盖率(DC)不再可行。另一方面，EP 1 043 641 A2中使用的处理器是一种直接处理所提供的代码的低复杂性的特殊ASIC。因此，可以利用合理的支出来执行处理器的故障安全性的证明。然而，当使用其他标准CPU时，不能直接执行相应代码，从而还必须分析根据相应代码创建机器代码的编译器。此外，针对多层故障的检测，需要与硬件有关的背景测试，这些与硬件有关的背景测试在标准CPU上无法实现或不能以足够的效率来实现，并且因此当使用标准CPU时必须单独地实现。

所谓的软件编码处理(SCP)追求一种独立于处理器的方法。由SCP扩展的系统能够在运行时揭示瞬时错误、永久错误和系统执行错误。另外，可以检测并显示不同程序(功能程序、中间件、操作系统)之间的干扰。SCP的已知变型是所谓的AN编码，即其中程序的每个值乘以常数A特别是乘以素数的算术编码。系统中所有不是A的倍数的值和状态随后都被视为无效状态。